Как вы думаете, в bsd правда меньше дыр безопасности чем

в линукс, или это миф? что-то часто стали находить дыры в линуксе.

11 ответов

26 просмотров

дыры везде. и в openbsd. открытие?

+1

Кол-во "дыр" в N, это в т.ч. функция от количества поисков дыр в N. Имхо, все споры о том, "что бОльшее решето" - в основном схоластика.

Да, правда. И потому, что у нас кода тупо меньше, и потому, что мы лучше умеем в дизайн, и не в последнюю очередь оттого, что говноядро пишет куча разномастных программистов на зарплате под гнетом корпораций, с дедлайнами, различными отношением к своей работе и представлением о прекрасном, вот и получают пять уязвимостей в год только лишь в одной подсистеме AF_PACKET. 🤦‍♀️

denis- Автор вопроса

это звучит убедительно. но вот другие говорят что в bsd просто меньше ишут и потому меньше находят.

На работе мы вынуждены поддерживать несколько версий ядра из разных веток (3.0.x, 3.6.y, 4.1.z), и мне часто приходится вручную бэкпортить фиксы. И ты вот смотришь, например, на дифф (это фикс CVE-2017-14497) и видишь, что как был до фикса говнокод, таким после фикса и остался. Когда же я смотрю на патчи к нашим CVE'шкам, там практически всегда сразу понятно, в чем был косяк, почему ешл допустили, и что новый код действительно лучше.

никому не верь, все что можно сделать - собрать статистику сколько CVE было в Linux/FreeBSD за период времени, это максимально правдивый ответ будет. Даже если в каждой программе FreeBSD дыра, а то и 10 - пока их не найдутт и не будут зафиксированы, гадать можно как о погоде - какая она будет через год.

Про дизайн - голословное утверждение. Так-то никаким дизайном у нас не пахло, разрабочиков нет, ревью нет, кто-то один пилит как может одну подсистему, никто не проверяет что он там накодит, и это вливается как есть в ядро. Ещё повезёт если до релиза заметят что оно не работает, куда там до уязвимостей. Случай с wireguard показательный, например. Величайшее благо, если втянут нормальный код из linux типа drm или нормально развивающихся ядерных проектов типа openzfs.

Если у нас так хорошо в дизайн, почему мы сосём в сети?..

при этом зоопарка подсистем, во фре нет. Линукс - это ос, где каждая подсистема пытается пожрать остальную часть ос (systemd например), это ос, где проблемы в ФС решаются не совершенствованием имеющегося, а созданием новой ФС (самсунговская фс для флэшек). Там процесы аудита поставлены настолько хорошо, что затаскивают код подстстем ошмётками (вспоминается OpenVZ, из которого с такой-то матерью удалось затащить несколько отдельных элементов, прямо перед взрывом контейнерной темы). При этом вспоминается разборка солнцеликого с майнтейнером подсистемы терминала, когда поправленный функционал взорвал кучу заботливо поставленных костылей, и крайним оказался именно чинивший, ибо нехер фиксить то, на чём в юзерспейсе уже построен небоскрёб костылей и подпорок (с) солнцеликий. У фри огромная проблема в людях - не хватает внимания всем уголкам системы, особенно портам, в ресурсах - патчи безопасности в базовой системе появляются оперативно, зато наблюдать дней 2-5 проблему в пакете, которая в дебиане пофиксилась вместе с публикацией csv, да и в портах уже исправлена, но кластер сборки ОЧЕНЬ небыстр… Проблемы с практическим применением, поскольку с потерей громадных установок ос в яндексе, рамблере и куче иных контор, на проблемы начали натыкаться меньше. Во фре много проблем, но их реально решить, и решения понятны. Проблемы с отсуствием ревью решаются парой отзывов права коммита у особо провинившихся после разбора и суда кортима. Инструментарий есть. В линуксе проблема масштабней, и решить её простыми и понятными методами не выйдет, они сильно завязаны на модель разработки. И то что народа там дофигища, и рулить этой толпой эфективно уже не выходит, и лоскутный характер разработок, когда слчинители подсистем стараются занести к себе максимум всего, чтобы не зависеть от бурного фестиваля новаторских идей у соседей. И куча крупняка, которая пытается затянуть в ядро полурождённое, чтобы не парится с обратным портированием при обновлении этого зооцирка кода, в результате среда линукса сильно страдает от наличия огромного количества полудописанного и полузаконченного. Там море передовых вещей, но как же противно влазить в это всё. Во фрю подсистемы заезжают уже сформированными или готовыми. По крайней мере в основном и по крайней мере так кажется со стороны. Затем их бережно и методично доводят. Нет зоопарка (кроме ситуации с фаеоволами) и под всё (или почти всё) есть примерно одна подсистема или инструмент. Это делает работу с системой более приятной. Да я помню ту же подсистему аудита, которая уже 5 лет не может строить нормальные xml отчёты, они там битые выходят, и вообще этот страшный ужос требует БОЛЬШЕ внимания, докементации и здравого смысла, но пока всё скорей ближе к хорошо, с учётом места системы в мире…

Wireguard во фрю заехал со своими велосипедами в криптографии (и потом выехал из фри)

Похожие вопросы

Обсуждают сегодня

Добрый вечер, Пока не совсем понимаю как наладить общение между телеграм ботом и ПО для работы с сим боксом. По самому боту так понял: - Нужен некий баланс, который можно поп...
Magic
6
сделал сайт, прикрутил в боте сайт, и виджет логина. как автоматически логинить пользователя в аккаунт(телеграм), при входе с бота?
Александра Чернивецкая
5
Объясните, пожалуйста, почему компилятор ругается на использование в условии неинициализированной переменной: int x; Task.Run(async () => { x = await somefunc(); }).Wait...
Александр
5
Ребят, подскажите, пожалуйста, почему в префиксе к ассетам, которые генерируются через фильтр | theme в шаблоне, стал вдруг появляться index.php? Вот так выглядит ссылка на а...
Виталий
1
Всем привет. Ребята, подскажите, пожалуйста. у ботов есть ограничение на отправку сообщений - 30 сообщений в секунду, эти ограничения накладываются на все сообщения? или на со...
Artem Stormageddon
4
Блин, ребята, сори за тупые вопросы. А можно ли как-то открыть вебапку по нажатию на кнопку в меню(которое появляется слева, команды)?
Artem Stormageddon
3
а плаксы из-под питона умеют только в комфортных условиях что-то выдавить из себя?)
Lencore
9
Но, может, есть уже проверенная? Наши требования такие: 1. Сообщения должны приходить из Инста в CRM оду 2. Должна быть возможность подключить несколько экаунтов Инстаграм. Р...
Alexander Sharoiko MSE / Александр Шаройко
13
Это может быть все-таки не флудвейт? у меня ботфазер принимает изменения и отображает даже что они изменились, на видео видно что он прислал якобы уже измененное описание, н...
OVERLINK
13
Коллеги, может знает кто, можно ли цвет бейджа счётчика в BackendMenu менять без бубнов?
Alex Blaze
3
Карта сайта